lunes, 29 de septiembre de 2014

Aplicacion de Seguridad Informatica


Definición del plan de seguridad informática

Descripción de los elementos de protección

Modelo: ITIL
¿Porque? ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
Estándar: ISO/IEC 20000
¿Por qué? ISO/IEC 20000 está basada y remplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infraestructura Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.

Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido

Tenemos pensado terminar  el proyecto aproximadamente entre 10-15 años,
Para poder terminarlo y llegar a su punto de madures (fase final), para poder terminarlo utilizaríamos muchas cosas, por ejemplo las bitácoras, información sobre el tema, fases de prueba y error, resúmenes, practicas, y todo lo necesario para llevar a cabo el proyecto.

Definición de políticas

ELEMENTOS DE SEGURIDAD INFORMATICA


-De acceso físico a equipos

 

Para la política de los accesos físicos a los equipos se manejara por personal autorizado y estas personas serán las que estén capacitadas en la tecnología (informáticos) ya que serán los que se encarguen de mover cada maquina, etc. Que se tenga en la empresa y cualquier daño estará a cargo de ellos…

1. No podrán trabajar con ningún equipo si no se ingresa un pin de seguridad.
2. Solo tendrá acceso habiendo registrado su ingreso en la empresa.
3. No podrá manejar el equipo de trabajo de otras áreas hasta que no este autorizado por gerencia
4. Deberán dar un registro de los movimientos, procesos, logros, etc. Que hizo a lo largo del día
5. No podrá utilizar el equipo o la maquinaria para asuntos ajenos a la empresa en caso de violar esto se manejara una sanción al empleado.

-De acceso lógico a equipos
Los empleados que sepan de control de calidad estarán encargados (juntamente con informáticos mas capacitados a la oficina) de toda la información que maneja la empresa (aplicaciones, licencias, programas, ventas, ganancias, perdidas, salidas, entradas, etc.) Las condiciones de trabajos de ellos serán:
1. El ingreso a los usuarios donde se almacena esta información será por medio de claves especiales del equipo.
2. Al final de día tendrán que mandar la información que manejaron a un equipo centro.
3. Solo podrán utilizar los equipos y mover la información cuando en la empresa este marcada su entrada.
4. No podrán llevar discos, memorias, cables, etc. Que pueda transferir información ya que esta es confidencial de la empresa.
5. No podrán enviar datos a ningún otro programa, canal, etc. Si no esta autorizado por gerencia.
6. No deberán entrometerse en la información de otros equipos y devoran cuidar que no entren a la de ellos.
7. No podrán dañar el equipo con virus ni nada por el estilo
8. A cada regla dañada se le otorgara una sanción.

-Para la creación de cuentas de usuario
1. Solo informáticos con un puesto alto y autorizado por gerencia podrán dar creación a usuarios nuevos (ya que aquí se almacenara información y deben de estar enterados y autorizados por los grandes)
2. Todo usuario creado tendrá su propia contraseña.
3. Será hecho especialmente para un empleado en especial.

-Para el manejo de bitácoras
1. Este punto será manejado por todos tendrán que entregar y manejar una bitácora única y especial por cada empleado.
2. Empleado que no entregue bitácora al final de día tendrá que ir acumulando hasta cierre de semana, si este no entrega completas sus bitácoras al finalizar semana será sancionado estrictamente
3. La entrega de las bitácoras será con el que comanda el área de trabajo él se encargara de guardar y subir.

4. En caso de perdida tendrá que volver a ingresar la información en una nueva bitácora que pedirá en oficinas.

 
-De protección de red (firewall)
1. Los encargados en el control de la información y el manejo de equipos tendrán que estar perfectamente encargados y tendrán que tener bajo estricta vigilancia la protección de red.
2. El equipo y información que sea invadida, o dañada por algún intruso o virus tendrá que pasar un reportes para que el problema sea tratado rápidamente.
3. Se aplicara sanción al que lo haya hecho intencionalmente (ya que los equipos serán investigados y analizados profesionalmente)

-Para la administración de software de seguridad
1. En este punto solo los que comandan las áreas podrán recibir órdenes de los gerentes en la instalación y uso de programas o software que ayuden a la empresa a manejar la seguridad
2. Los software serán únicamente pedidos en gerencia y estos serán asignados a los equipos que el mayor diga.

-Para la gestión de actualizaciones de control de cambios
1. Este podrá ser movido por todos pero antes de esto se hará una petición a oficinas para cualquier cambio o actualización en los controles según su cargo
2. El empleado que mueva cualquier actualización sin antes haberlo consultado o pedido será sancionado.

-De almacenamiento
1. Por default todos los empleados colaboraran en este punto ya que todos darán información de lo realizado en el día
2. Solo los de control e informáticos especializados en oficinas guardaran la información recibida.
3. Los datos almacenados pasaran a oficinas mayores y los empleados que deseen ver el historial antiguo o cualquier dato guardado anteriormente tendrán que hacer una petición.

-Para archivos compartidos
1. Este punto será visto desde gerencia cualquier archivo que se desee compartir tendrá ordenes del como y que persona lo hará.
2. Si algún empleado comparte información o archivos pertenecientes a la empresa tendrán una sanción fuerte.
3. No podrán recibir órdenes que no sea de oficinas para este aspecto.

-De respaldo
1. Para esto todos los empleados deberán realizar un respaldo de sus archivos del día que también serán entregados a oficinas (no podrán quedarse con estos).
2. Los que almacenan la información deberán después con los datos hacer un respaldo que será enviado a oficinas grandes donde hay lo manejaran (no podrán quedarse con este respaldo)
3. En oficinas mayores deberán tener varios respaldos en diferentes equipos para cualquier situación
4. Solo los gerentes o principales podrán entrar a estos respaldos en caso de algo o mas que ellos autoricen a cualquier personal.




 
integrantes:
Willi Perez
Alexis Reyes
Jose Angel Flores
Ismael Torales
 
 
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)